Artikel-Schlagworte: „iPhone“
1. März 2010 | 
Autor: Mit aktiviertem Wifi und SSH bietet das gejailbreakte iPhone jedem Netzwerkmitnutzer mit ein bisschen Ahnung die Möglichkeit des Vollzugriffes. Hier besteht nicht nur die Gefahr, dass Daten kopiert werden, sondern theoretisch auch, dass Trojaner o.ä. installiert werden (wobei ich jetzt ad hoc nicht weiss, ob es einen Trojaner für’s iPhone gibt). Wird eine SSH-Verbindung hergestellt, ist es ein leichtes, unter /var/root/Media/Cydia/ einen zusätzlichen Ordner AutoInstall zu erstellen. Hier kann nun eine beliebige *.deb-Datei hineinkopiert werden, die – einmal abgelegt – beim nächsten Reboot installiert wird. D.h. der Angreifer muss einfach (das ‘einfach’ behaupte ich jetzt mal) seinen Trojaner wie eine beliebige Cydia-App als *.deb (Debian) verpacken und auf den Reboot warten. Nähere Infos zur Installation von deb-Files gibt es hier.
Um einen solchen Angriff zu verhindern, sollte ein installiertes SSH möglichst immer aus sein, sofern es nicht benötigt wird. Den komfortablen ‘Schalter’ gibt es für BossPrefs ebenfalls unter Cydia. Zusätzlich zu ausgeschaltetem SSH sollte aber dringend das Standardkennwort für die User root und media geändert werden.
Hierzu brauchen wir – wie soll anders sein – ebenfalls Cydia, laden ‘Mobile Terminal’ herunter und installieren das Tool auf dem iPhone. Ist Mobile Terminal gestartet, werden folgende Befehle der Reihe nach eingegeben:
su
Nun wird das bisherige Passwort verlangt. Wenn dieses noch nicht geändert wurde, muss alpine eingegeben werden:
alpine
passwd
Das neue Passwort eingeben – nach Bestätigung noch ein zweites Mal. Im Anschluss kann das Passwort vom User mobile geändert werden:
passwd mobile
alpine
deinneuespasswort
deinneuespasswort
Nach dieser Änderung ist zu beachten, dass das Passwort nach einem erneuten Jailbreak (nach Update) wieder auf alpine zurückgesetzt wird (zumindest war es bisher so).
Veröffentlicht in iPhone, iPhone Apps | 
Schlagworte: Apps, Cydia, iPhone, Passwort, Sicherheit | 
2 Kommentare »
Mein Blog verhält sich immer seltsamer. Komischerweise werden manche (alle?) Videos, die ich in der Vergangenheit in Wordpress eingebunden habe (und zwar, in dem ich einfach den Code der YouTube-Seite kopiert hatte), sauber – auch auf dem iPhone – dargestellt, das Video, das ich gestern eingebunden hab, aber nicht (es erscheint nur dieser Flash-Würfel).
Bisher bin ich immer so vorgegangen, dass ich den Artikel ohne Video fertig geschrieben hatte, dann in die HTML-Ansicht des Editors gewechselt bin und hier den Code der YouTube-Seite eingefügt habe. Danach speichern und fertig – der Code sieht dann so aus:
<object width="500" height="315">
<param name="movie" value="http://www.youtube-nocookie.com/v/ldL0ZKqVLYM&hl=de_DE&fs=1&rel=0&color1=0xe1600f&color2=0xfebd01&border=1"></param><param name="allowFullScreen" value="true"></param><param name="allowscriptaccess" value="always"></param><embed src="http://www.youtube-nocookie.com/v/ldL0ZKqVLYM&hl=de_DE&fs=1&rel=0&color1=0xe1600f&color2=0xfebd01&border=1" type="application/x-shockwave-flash" allowscriptaccess="always" allowfullscreen="true" width="500" height="315"></embed>
</object>
So hat es immer funktioniert – in der normalen Ansicht und auf dem iPhone. Bis gestern. Ich habe nun den Code von einem alten und einem neuen Beitrag mit Video verglichen: identisch. Auch ein untereinanderkopieren der zwei Videos zeigt, dass eines dargestellt wird und das andere nicht – hängt das mit den HQ-Videos zusammen?
Na ja, wie dem auch sei, die einfache Lösung lautet: Plugin. Und zwar das Plugin “Smart Youtube” von dieser Seite. Statt dem kompletten Quelltext muss nun nur noch eine einzige Zeile eingefügt werden: h t t p v : / / www.youtube.com/watch?v=ldL0ZKqVLYM (Man achte auf das httpV! Die Leerzeichen sind deshalb drin, weil das Plugin schon aktiviert ist und er so denken würde, er müsse auch hier ein Video einbetten.).
Gestern wollte ich zum ersten Mal erfolglos eine AppStore-App (sogar kostenlos) installieren. Eine nette Meldung wies mich darauf hin, dass ich doch zuerst bitte auf die OS-Version 3.1.x updaten solle. Da es mich einige Zeit und Nerven gekostet hatte, dass iPhone jailzubreaken und mit meiner Klarmobil-Karte zum Laufen zu bringen, hab ich ein weiteres Update immer vor mir her geschoben… doch nun sollte es soweit sein.
[Anleitung ohne Gewähr - klar!]
Im ersten Schritt wird das Telefon mit iTunes gesichert, was uns – soviel sei vorab gesagt – aber überhaupt nichts bringt, sollte die falsche Firmware bzw. das originale Apple-Update benutzt werden. Dann, so liest man auf diversen Seiten, kann man das Telefon getrost in die Tonne kloppen bzw. nicht mehr als solches benutzen (außer mit meiner originalen O2-UK-Karte, was aber auf Dauer ein bisschen teuer werden dürfte). Ein offiziell upgedatetes iPhone bekommt nämlich einen neuen Bootloader verpasst und damit die Möglichkeit (im Moment) entzogen, einen Jailbreak durchzuführen. Ohne Jailbreak keine Nutzung der fremden Karte. Trotzdem mache ich die Sicherung an dieser Stelle.
Weiter geht es damit, sich die Seriennummer des iPhones anzuschauen (was aber nur beim 3GS wichtig ist). Hintergrund ist, dass bei Geräten mit Herstellungsdatum ab Oktober 2009 wohl nur noch ein sog. “Tethered Jailbreak” möglich ist, was bedeutet, dass das Telefon nach einem Neustart wieder entsperrt werden muss. Also unter “Einstellungen” – “Allgemein” – “Info” – “Seriennummer” die vierte und fünfte Stelle betrachten (Kalenderwoche). Ist diese kleiner als 41 sieht es ganz gut aus. Bei einer höheren Zahl wäre ich vorsichtig.
Wie immer führe ich den Jailbreak auf einem Mac durch, weshalb nun die aktuellste Version vom PwnageTool (bei mir aktuell 3.1.5) gesucht und heruntergeladen wird. Zusätzlich wird die Datei “iPhone2,1_3.1.2_7D11_Restore.ipsw” gebraucht und spätestens hier wird klar, dass es sich hier nicht um einen Jailbreak für 3.1.3 (wie meine Überschrift behauptet), sondern 3.1.2 handelt – im Moment ist es wohl noch nicht möglich, die 3.1.3er zu jailbreaken… Die Fehlinfo ist keine böse Absicht, ich befolge hier aber die Vorgehensweise “cool URIs don’t change” und will den Titel deshalb jetzt nicht mehr ändern… Eine sehr gute Übersicht der Firmware-Dateien findet sich hier.
Nachdem das PwnageTool installiert und die Firmware heruntergeladen wurde, kann gestartet werden (will sagen: kann Pwnage gestartet werden).
Auswahl des iPhone 3Gs
Februar 2010: Der Kampf der letzten übriggebliebenen Datenschützer gegen die mächtigen Social Networks ist verloren, die Widerstände gebrochen. Der Bürger ist gläsern. Jeder weiss alles zu jedem Zeitpunkt von jedem. Und JETZT bin ich auch endlich dabei! Endlich sind auch meine Belanglosigkeiten für jeden follow-able!
Doch als Anfänger ist es nicht unbedingt selbsterklärend, wie Twitter funktioniert. Die Anmeldung ist leicht erledigt – wie meist bei den sozialen Netzen. Doch was kommt dann?
Twitter schlägt als erstes vor, den Gmail-, Yahoo- oder AOL-Account zu durchsuchen und durch die Syncronisation meiner Adressen, meine Bekannten auch bei twitter.com zu finden. Ich hab bei keinem der drei Anbieter einen Mailaccount, von da her ist dies nicht wirklich interessant für mich – wäre es auch so nicht, da ich mir nicht anmaßen möchte, die Daten meiner Freunde und Bekannten preiszugeben (ohne deren Einverständnis). Da kam mir bereits die Facebook-iPhone-App spanisch vor, bei der man per Knopfdruck sein Handyadressbuch mit Facebook synchronisieren kann… Naja, zurück zu Twitter. Über die Suche auf der Twitterseite kann man zwar schon – theoretisch – Themen finden, die einen interessieren; ich hab’s aber nicht geschafft. Man kann hier nur grob die Kategorie wählen und hat dann die geballte Ladung. Über den Hintergrund der für mich schlechten Suche kann man nur spekulieren. Ist es Masche, dass so doch User mit einem Mailaccount bei den drei oben genannten Unternehmen dazu gebracht werden, die Adressen zu synchronisieren oder gehört es einfach zur Twitter-Philosophie, gute Quellen nicht zu suchen, sondern “gezwitschert” zu bekommen? Egal, so oder so finde ich die Suche nicht gut – vielleicht ändert sich das noch.
Unkomfortable Suche bei Twitter
Etwas komfortabler geht es mit Diensten wie tweepz.com, wo man mit der erweiterten Suche schon ganz gut suchen kann. Schlüsselwörter für die Suche hier sind (ohne Anspruch auf Vollständigkeit):
- loc:(stuttgart) / Ort = Stuttart
- bio:(bus) / Alle, die “bus” in ihrer Biografie (Kurzbeschreibung des Profils) drin haben
- name:(Mustermann) / Suche nach Namen
- (vw NEAR t3) / “vw” steht irgendwo im Zusammenhang bei “t3″
- vwbus* / Alles, was mit “vwbus” anfängt
- -t5 / Wort “t5″ darf nicht vorkommen
Twellow.com nennt sich selbst “The Twitter Yellow Pages” und ist nach dem ersten Test auch einigermaßen durchsuchbar. Vielleicht hab ich auch einen zu hohen Anspruch und aufgrund der Datenmenge ist es einfach nicht mal schnell mit zwei, drei Suchwörtern getan, aber so ganz glücklich bin ich auch damit nicht. Aber vielleicht gewöhne ich mich ja dran. Ich will ja nicht blindlings die Kommentare von verschiedenen Leuten verfolgen, nur mit dem Hintergedanken, dass sie mir dann auch folgen und damit Traffic für den Blog = Geld via Google AdSense generiert wird! …obwohl…?
Der Netzberichterstatter hat Ende 2009 seinen Dienst “followers4free” gestartet, mit Hilfe dessen User mit gleichen Interessen automatisch verfolgt werden können. Wie das genau funktioniert, muss er mir mal erklären (gell?). Weitere Dienste und einen kurze Schritt-für-Schritt-Anleitung findet sich auch beim momentanen Google-Toptreffer collis.de.
